Download - CA Privileged Access Manager r3 ご紹介 - Fujitsu › ... › capam-r3-introduction.pdfCA Privileged Access Manager が解決します CA Privileged Access Manager（ CA PAM）は、特権ID

Copyright 2018 FUJITSU LIMITED

CA Privileged Access Managerご紹介

2018年8月富士通株式会社

お客様の課題

Copyright 2018 FUJITSU LIMITED1

お客様の課題

内部不正や標的型攻撃による情報漏えいが心配！


② 特権ID利用者の証跡ログが記録できないため問題が発生した時に不正利用者を特定できない

③ 金融機関等で必要不可欠な、特権IDによる作業の正当性を証明する監査に対応可能

① クラウド、仮想化環境、Webアプリケーション、ネットワーク・IoTデバイスなど、環境の多様化により管理対象が増加し、特権IDの運用・管理が大変

特権IDの悪用を防ぎたい

2

解決方法


CA Privileged Access Manager が解決します

CA Privileged Access Manager（CA PAM）は、特権IDを管理する製品

多様なシステムを対象に特権IDのアクティビティを一元的に制御／記録／監視して、特権IDの悪用を防止

高権限である「特権ID」を使って、「誰が」「いつ」「どんな操作」を行ったのか操作ログの記録や操作画面の録画ができるため、調査や監査に利用が可能

「特権IDアクセス管理ソリューション」CA Privileged Access Manager



CA PAMは、IPアドレスを持つ全システム（OS・DB・Webアプリケーション・仮想環境・クラウド環境・ネットワーク/IoTデバイス・PC等）の特権IDを単一ビューで一元管理・監視することができます。多様な特権IDの運用・管理の問題を解決します。

オンプレミスとクラウドの特権IDを一元管理！


①

5


特権IDの不正利用を抑止！


特権ID利用者の証跡ログが記録できることを広報しておくことで不正利用の抑止力になります。また、問題発生時に不正利用者を特定できない問題を解決します。

②

6


システム監査に求められる要件を網羅しています。必要不可欠な監査対応の問題を解決します。

あらゆるシステム監査の要件を網羅！


カテゴリ CA Privileged Access Managerの主要機能対応

録画・ログの取得操作を動画や静止画で録画 ○

発行されたコマンドや操作情報の取得 ○

特権IDや共有IDのログイン/ログオフのログ取得 ○

拡張性大規模環境でも短時間で導入可能 ○

クラウド管理コンソールのアクセス制御 ○

ITリソースに対するアクセス制御 ○

セキュリティリソースの改ざん防止 ○

許可されていないコマンドの利用をブロック ○

ログイン直接サーバへのログイン可否 ○

ID貸出認証システムの実装 ○

③

7

特権IDアクセス管理「CA Privileged Access Manager」


CA Privileged Access Manager 概要


A2A※パスワード管理

埋め込みパスワードから管理パスワードへ

操作録画・ログ管理

全てのセッション操作録画ロギング

内部不正ID盗用攻撃者

特権乱用者

コマンド制御

ブラックリストコマンド・ブロック

特権パスワード管理

PW払出しワークフローパスワード自動変更

操作モニタリング

BLOCK!

利用申請者協力会社等

承認者

承認済アクセス

All in One

既存データセンターオンプレミス/プライベートクラウド

Mainframe, Windows, Linux, Unix, Networking

VMware Console

SSHTelnetRDP

HTTPAPI

企業機密特定個人情報

承認アクセスのみが

許可される

・１つの仕組みで包括的な特権アクセス管理・運用コストの最適化

1アプライアンスで全ての管理者アクセスを制御&録画CA Privileged Access Manager

・OS,DB管理・Webｱﾌﾟﾘ

・ネットワーク機器・IoT等管理者

※A2A：App to App(アプリケーション間)

9

CA Privileged Access Manager の特長


従来の特権ID管理製品はOSとDBのみ対応

ゲートウェイ型仮想アプライアンスなので導入が簡単

☑ OSやDBが含まれたイメージファイルを仮想環境に認識させるだけ☑冗長化機能があるためクラスタ製品不要

AWS, Vmware等の仮想環境の特権IDも管理できる☑IPアドレスを持つ全システム（OS・DB・ネットワーク・IoTデバイス・クラウド）の特権IDアクセスを単一ビューで一元管理

特権IDのコマンドを制御☑特権IDに対して特定のコマンド実行を禁止（Select、Update, Killなど）

ハッカーが使用するコマンドをブロック

オールインワンの仮想アプライアンス

録画によって、内部の不正犯行を抑止

1アプライアンスで同時に2000セッションレコーディングが可能

☑1アプライアンスで全管理者のアクセスを単一ビューで管理同時に2000セッションのレコーディングが可能

世界最高水準のセキュアな特権ID管理基盤☑Common Criteria （ISO/IEC 15408）を満たす世界唯一の特権IDアクセス管理製品

仮想サーバを動的に自動検知・登録・削除☑管理対象の仮想サーバに増減を自動的に検知管理対象として登録、削除。抜け漏れをなくし、運用負荷を軽減

セキュリティ要件の厳しい米国の政府機関や金融機関で多数の導入実績

人的な作業ミスを排除

10

CA Privileged Access Managerのアピールポイント


Common Criteria Certification(CC)とは、主に政府機関へ導入する際に、その製品が国際的な様々な基準に準じていて充分に安全かどうかを定めたガイドラインのこと。アメリカ国立標準技術研究所(NIST)とアメリカ国家安全保障局(NSA)は国家情報保障パートナーシップ(NIAP)の元で米国CCに関する活動を共同で行っている。

Common Criteria Certification

Protection Profile – ポリシーマネージメント、エンタープライズセキュリティマネージメント、アクセスコントロール企業のセキュリティを管理するにあたり定めた基準を満たしているかどうか

Evaluation Assurance Levels (EAL) – EALは、その製品が如何に充分にテストされているかを規定。 LEVEL4 ソースコードチェックをパス。

CCの主要コンポーネントは２点

PAMは「“世界最高レベル”の管理基盤」

11

CA Privileged Access Manager


CA PAM 仮想

アプライアンス

Webブラウザ作業者

承認者

貸出IDを使用し、メンテナンスサーバへアクセス

１ OS

＋操作端末録画機能

フロント

サーバ群

＋特権ID貸出

Routerｓ2 DB

５アプリケーション

３. クラウド/仮想環境

バックエンド

サーバ群

４. ネットワーク機器PAMの管理対象は下記のプロトコルを利用する管理アクセスです。PAMは踏み台となり、各管理者のクレデンシャルを安全に保管し、アクセスをコントロールすることで、管理者IDの悪用を排除します。

• SSH• RDP• JDBC• HTTP/S

12

CA Privileged Access Manager機能詳細


認証情報の管理

共有ID利用ユーザの識別(e.g., Root/Admin)

セッション録画 & メタデータ

モニタリング & フィルタリング

ID連携 (SSO/自動ログイン)

ポリシーによるシステムへのアクセス制限

豊富なユーザ認証

14

1. 認証情報管理



重要なデータにアクセス可能な特権/共有アカウントの認証情報は安全に管理されていなければいけない

15



様々なシステムの認証情報(パスワード等)を安全に管理

要塞化されたアプライアンスで認証情報を安全に保管

豊富な管理対象

•OS

•DB

•ネットワーク機器

•Webサービス

•Cloudベースサービス

AWS

•etc…

Cloud

Web

Linux

Windows

DB

ネッワーク機器

16



パスワードポリシー

柔軟なパスワードポリシーにより企業に合わせたパスワード管理が可能

•パスワードの複雑性と変更タイミングの定義

•パスワード変更タイミングの定義

•パスワード利用時のワークフロー&メール通知の定義

•パスワードのチェックイン/チェックアウト (専用貸出)

SSH鍵の管理

パスワードだけではなく、Linux/Unix系のログインに多く使用されるSSH鍵認証のSSH鍵の管理もサポート

•AWSマネジメントコンソールでも必須

17

2. ユーザ認証




特権/共有アカウントや重要なサーバへアクセス可能な個人ユーザは正しく識別・認証されなければいけない

18

2. ユーザ認証


全てのアクセスの入り口となるPAMへのログインに様々な認証ストア/方式をサポート

•PAM上のローカルユーザ(ID&パスワード)

•標準的なディレクトリ

Active Directory / LDAP v3

•多要素認証

RADIUS / TACACS+

CA Advanced Authentication / RSA SecurID

•ID フェデレーション

SAML / ADFS

•政府系で求められるスマートカード認証

CAC (Common Access Card) / PIV (Private Information Verification)

ActiveDirectoryLDAP

AD CloudCloud

19

3. アクセスポリシー





ユーザはそれぞれの役割に応じて許可されている管理対象サーバ・特権アカウントのみにアクセス可能

20



アクセスポリシーにより、管理対象へのアクセスをユーザごとに細かく制御

アクセスポリシーを構成するコンポーネント

•ユーザ: “誰が”

•デバイス: “どのサーバにアクセスして良いか”

•その他のコンポーネント

パスワード: “どのアカウントか”

サービス: “どのようなアクセス/プロトコルか”

録画: “アクティビティを録画するか”

フィルタ: “管理対象へのログイン後にアクセス制御を行うか”

アクセスポリシー

= [ユーザ] + [デバイス] + [その他]

21



ユーザ

PAMにログインするユーザ

•“2. ユーザ認証” で認証されたユーザ

註: 管理対象上のアカウントではない

デバイス

管理対象となるサーバ (ホスト名 or IP)

•複数の管理対象アプリケーションが1つのサーバ上にある場合も、デバイスとしては1つ

22



パスワード

管理対象へのログインに使用するアカウントとそのパスワード

•パスワードを指定しない場合には手動で入力も可能

サービス

管理対象へのログイン方法

•Access Method:

PAMが用意しているログインアプリケーション (SSH, RDP, Telnetなど)

•Services:

PAMで提供されていないログインアプリケーションを使用するための定義

23



録画

セッション録画の指定

•Graphical: WindowsのRDP接続の録画

•Command: Unix/Linux系のSSH/TELNET接続のキーボードロギング

•Web Portal: Webアクセスの画面録画

フィルタ

対象へのログイン後のアクセス制御

•コマンドフィルタ: コマンド実行のホワイトリスト/ブラックリスト

•ソケットフィルタ: 対象サーバからの踏み台アクセス防止

24

4. ID連携 (SSO)






セキュリティのみならず、ユーザの利便性向上のためにもパスワード入力をせずにSSOできる事が望ましい

25

4. ID連携 (SSO)


管理対象サーバ/アプリケーションへのアクセス

Access Method (AM)

•AMはビルトインのログインアプリケーション

•以下のプロトコルを使用した管理対象へのアクセスをサポート

SSH / Telnet

RDP など・・・

•以下を行いたい場合には基本的にAMが前提となる (例外あり)

SSO/自動ログイン

セッション録画

26

4. ID連携 (SSO)


管理対象サーバ/アプリケーションへアクセス (続き)

Services

•AMでサポートされていないプロトコルやサードパーティのアプリケーションを使用してアクセスを行いたい場合に使用

TCP/UDPサービス

アクセスしたいポート、使用したいアプリケーションを指定 Webサービスへのアクセスの場合はURLを指定

RDPアプリケーション

管理対象Windowsサーバ上のアプリケーションを使用したい場合に定義 RDPで一度Windowsにログインし、その後アプリケーションを自動起動アプリケーションを終了するとRDPセッションも切断

27

4. ID連携 (SSO)


PAMを経由した管理対象へのアクセス

Linux

Windows

DBJDBC

Web

ブラウザ

サードパーティツール

PAM AM

CA PAM

ネッワーク機器外部ストレージ


28

5. モニタリング&フィルタリング







ユーザのアクセスはモニタリングされるだけでなく、不正なアクセスは防止されなければならない

29

5. モニタリング & フィルタリング


モニタリング

ログ

•アクセス履歴の取得

「誰がいつどこで何をしたのか」の履歴を取得

セッションの開始/終了時間も記録

ユーザが使用したアカウントやそのパスワード変更の履歴を取得

フィルタ条件の違反を記録

PAMの管理オペレーションを記録

•ログ管理

ログのアーカイビング&削除のスケジューリングが可能

SyslogサーバやSIEMと連携しログ転送が可能

30



モニタリング

アラート

•管理者へのメール通知

モニタリングサービスの起動時

ログのアーカイビング&削除時

フィルタ条件の違反があった場合

(Optional) PAMへのログイン時

など・・・

31



フィルタリング

コマンドフィルタ

•PAMを介するSSH/Telnetアクセスのコマンド実行制御

ホワイトリスト or ブラックリストにより、許可/拒否コマンドを定義

違反があった場合にはメールによるアラート通知可能

特定回数以上の違反があった場合にセッションの強制切断が可能

Linux

リスト

# passwd # passwd

SSH

32



フィルタリング

ソケットフィルタ

•PAMを介した管理対象サーバOSへのログインアクセス後、他のサーバへの踏み台アクセス防止

ホワイトリスト or ブラックリストにより、特定のネットワーク&ポートへのアクセス許可/拒否

違反があった場合にはメールによるアラート通知可能

特定回数以上の違反があった場合にセッションの強制切断が可能

Windows/ Linux

リスト

ログイン

RDP/SSHサーバB

サーバA

33

6. セッション録画








問題が発生した場合、後からユーザの実際のアクティビティを追跡できる必要がある

34




以下のアクセスのセッションをビデオ形式で録画

•AMを使用したアクセス

•下記Serviceを使用したアクセス

SSH/Telnetを使用したTCP/UDPサービス

PAMブラウザを使用した Web Portalサービス

RDPアプリケーション

フィルタに違反したアクセスのハイライト

メタデータ検索

AMを使用したSSH/Telnetのセッション録画に対してはメタデータ(キーワード)検索が可能

35



RDPセッション録画のリプレイ

36



SSHセッション録画のリプレイ & メタデータ検索

37

7. 共有アカウントの識別



共有アカウント利用ユーザの識別(e.g., Root/Admin)






作業後、監査対応のため特権アカウントを実際には誰が利用していたのかをレポートする必要がある

38



レポート

特権/共有アカウント利用のレポートを提供

•レポートにより、特権/共有アカウントを誰が利用したのかを正確に識別

•ビルトインで様々なレポートを提供

View Password Request: 特権/共有アカウントパスワード利用アクセス履歴

Account Passwords Updates: アカウントのパスワード更新履歴

Cluster State: クラスタの状況

Privileged Accounts: 特権アカウント一覧

など

•PDFだけでなく、HTMLやCSVなど複数のフォーマットをサポート

•スケジュールによる定期的なレポート作成

39



レポートサンプル

40

動作環境

種類/用途動作OS／環境

CA Privileged Access Manager Virtual Appliance

(PAM本体)

VMware ESX/ESXi 5.1、5.5、6.0、6.5（仮想アプライアンスによりVMware上で動作）

CA PAM Management Console OVA Appliance

(PAMの統合管理)


CA Threat Analytics (for PAM)

(リスク評価・分析分析)


CA Privileged Access Manager Server Control

(きめ細かなアクセス管理)

RHEL 7 (Intel64)/RHEL 6 (Intel64)/RHEL 6 (x86)/Windows Server 2012/Windows Server 2012 R2/Solaris 10/Solaris 11

CA Privileged App to App Manager Client

(パスワード埋込み機能)

RHEL 7 (Intel64)/RHEL 6 (Intel64)/RHEL 6 (x86)/Windows Server 2008 R2/Windows Server 2012 R2/Solaris 10/Solaris 11

CA PAM クライアントWindows 7/Windows 7 (64-bit)/Windows 8.1/Windows 8.1 (64-bit)/Windows 10/Windows 10 (64-bit)

管理対象デバイス

RHEL 7 (Intel64)/RHEL 6 (Intel64)/RHEL 6 (x86)/Windows Server 2016/Windows Server 2012 R2/Windows Server 2018 R2/Windows 7/Windows 7 (64-bit)/Windows 8.1/Windows 8.1 (64-bit)/Windows 10/Windows 10 (64-bit)


登録商標

Microsoft、Internet Explorer、Hyper-V、Windows、およびWindows Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

UNIXは、米国およびその他の国におけるオープン・グループの登録商標です。

OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における登録商標です。文中の社名、商品名等は、各社の商標または登録商標である場合があります。

Oracle Solarisは、Solaris、 Solaris Operating System、 Solaris OSと記載することがあります。

Linuxは、Linus Torvalds氏の米国およびその他の国における商標または登録商標です。

Red Hatは、Red Hat, Inc.の米国およびその他の国における登録商標または商標です。

その他、本資料に記載されているシステム名、製品名等には必ずしも商標表示(TM・ ®)

を付記しておりません。
